Il 30 novembre, LastPass ha riferito di essere stata violata e una parte non autorizzata, utilizzando le informazioni ottenute nell’incidente dell’agosto 2022, è stata”in grado di ottenere l’accesso a determinati elementi delle informazioni dei nostri clienti”. Il 22 dicembre, Karim Toubba, CEO di LastPass, ha annunciato che il La violazione di LastPass è più grave. L’annuncio conferma che sono stati ottenuti anche i dati del vault dell’utente.
Violazioni del 2022
Ad agosto, LastPass ha annunciato che gli aggressori erano in grado di rubare il codice sorgente e le informazioni tecniche proprietarie. Il 30 novembre, LastPass ha annunciato di aver rilevato attività insolite all’interno di un servizio di archiviazione cloud di terze parti, condiviso sia da LastPass che dalla sua affiliata, GoTo. La loro indagine ha stabilito che una parte non autorizzata, utilizzando le informazioni ottenute nell’incidente dell’agosto 2022, era”in grado di ottenere l’accesso a determinati elementi delle informazioni dei nostri clienti“.
Ora, LastPass è annunciando che il”minaccioso sconosciuto”ha sfruttato le informazioni tecniche della violazione di agosto per prendere di mira un dipendente nell’ottenere credenziali e chiavi in grado di accedere e decrittografare”volumi di archiviazione all’interno del servizio di archiviazione basato su cloud“. L'”autore della minaccia”ha utilizzato le chiavi per copiare informazioni dai backup che contenevano informazioni di base sull’account del cliente, inclusi nomi di società, nomi di utenti finali, indirizzi di fatturazione, indirizzi e-mail, numeri di telefono e indirizzi IP che i clienti utilizzavano per accedere al servizio LastPass. L'”autore della minaccia”è stato anche in grado di copiare i dati del vault del cliente che contengono sia dati non crittografati, come URL di siti Web, sia campi crittografati come nomi utente e password di siti Web, note sicure e moduli compilati dati. LastPass afferma che non ci sono prove che sia stato effettuato l’accesso a dati non crittografati della carta di credito.
Dati a rischio
LastPass afferma che i campi crittografati rimangono sicuri e possono essere decrittografati solo con una chiave di crittografia univoca derivata dalla password principale di ciascun utente utilizzando la loro architettura Zero-Knowledge. Tuttavia, secondo LastPass, il”minaccioso”può usare la forza bruta per indovinare la password principale e decrittografare le copie dei dati del caveau che ha preso. LastPass afferma che i loro metodi di hashing e crittografia renderebbero difficile indovinare la password principale se il cliente seguisse LastPass best practice. Tuttavia, se il cliente non seguisse le migliori pratiche di LastPass,”ridurrebbe significativamente il numero di tentativi necessari per indovinare”correttamente la password principale. Pertanto, LastPass consiglia di modificare le password dei siti Web memorizzate.
LastPass afferma inoltre che i clienti aziendali che non hanno implementato”LastPass Federated Login Services”dovrebbero modificare le password dei siti Web che hanno memorizzato.
Precedenti incidenti relativi ai dati di LastPass
Secondo Wikipedia , LastPass ha una cronologia di incidenti di sicurezza.
Incidente di sicurezza del 2011
Il 3 maggio 2011, LastPass ha scoperto un’anomalia nelle reti di traffico in entrata e in uscita. Dati come indirizzi e-mail, server salt e gli hash delle password salate sono stati copiati da il database di LastPass. LastPass ha ricostruito i server e ha richiesto a tutti gli utenti di modificare le proprie password principali.
Violazione della sicurezza del 2015
Il 15 giugno 2015, indirizzi email degli account LastPass, promemoria password, server per utente i sali e gli hash di autenticazione sono stati compromessi; tuttavia, i dati del caveau utente crittografati non sono stati interessati.
Incidente di sicurezza del 2016
A luglio 2016, a causa di un codice di analisi degli URL scritto male nell’estensione LastPass, è stato trovato un metodo per leggere il testo in chiaro password per domini arbitrari dal caveau di un utente LastPass quando quell’utente ha visitato un sito Web dannoso. LastPass è stato informato in privato e ha corretto l’estensione del browser.
Incidenze di sicurezza del 2017
Il 20 marzo 2017 è stata scoperta una vulnerabilità nell’estensione Chrome di LastPass. L’exploit si è applicato a tutti i client LastPass, inclusi Chrome, Firefox e Edge. Queste vulnerabilità sono state corrette.
Il 25 marzo è stata scoperta un’ulteriore falla di sicurezza che consente l’esecuzione di codice in modalità remota in base alla navigazione dell’utente su un sito Web dannoso. Anche questa vulnerabilità è stata corretta.
2019 Security Incident
Il 30 agosto 2019, è stata rilevata una vulnerabilità nell’estensione del browser LastPass in cui i siti Web con codice JavaScript dannoso potevano ottenere un nome utente e una password inserito dal gestore delle password sul sito precedentemente visitato. A settembre, Lastpass ha annunciato pubblicamente la vulnerabilità, riconoscendo il problema e applicando patch a tutte le piattaforme.
2021 Tracker di terze parti e incidente di sicurezza
Nel 2021 è stato scoperto che l’app Android di LastPass conteneva tracker di terze parti. Inoltre, alla fine del 2021, un articolo su BleepingComputer riportava che gli utenti di LastPass erano stati avvisati che le loro password principali erano state compromesse.
I miei consigli
Qualsiasi violazione è dannosa, ma per una password manager, una violazione in cui l’hacker ottiene i dati del caveau è quanto di peggio possibile. Se usassi LastPass, farei quanto segue:
Cambia la mia password principale di LastPass.Attiva l’autenticazione a più fattori di LastPass se non è attiva.Cambia tutte le password dei siti Web critici (e-mail, istituti finanziari, carte di credito, ecc..). Valuta di passare a un altro gestore di password. Personalmente, ho un abbonamento Premium a Bitwarden Password Manager. Lo considero i migliori $ 10 che spendo ogni anno. Jim Hillier consiglia la versione gratuita di Bitwarden se non hai bisogno delle funzionalità Premium.
—